Cacing "tahan lama" dalam ekosistem JavaScript, pengawasan terhadap pelanggan Gucci dan peristiwa keamanan siber lainnya

# Cacing "tahan lama" di ekosistem JavaScript, pengawasan terhadap pelanggan Gucci, dan peristiwa keamanan siber lainnya

Kami mengumpulkan berita paling penting dari dunia keamanan siber selama seminggu.

• Pengembang blockchain semakin sering menjadi target hacker.
• Polisi Kanada menyita lebih dari $40 juta dalam cryptocurrency.
• Ekosistem JavaScript diserang oleh «cacing» yang dapat bereproduksi sendiri.
• Serangan terhadap industri otomotif dapat berdampak pada ekonomi Inggris.

Pengembang blockchain semakin sering menjadi target peretas

Pengembang perangkat lunak semakin menarik perhatian para penjahat kripto. Menurut peneliti keamanan siber Koi Security, kelompok peretas WhiteCobra menyerang pengguna platform pengembangan kode VSCode, Cursor, dan Windsurf. Mereka telah menempatkan 24 ekstensi berbahaya di Visual Studio Marketplace dan di registri Open VSX.

Salah satu korban "penghancur" adalah pengembang kunci Ethereum, Zak Cole.

Saya telah berada di crypto selama lebih dari 10 tahun dan saya TIDAK PERNAH diretas. Rekor OpSec yang sempurna.

Kemarin, dompet saya dikuras oleh ekstensi jahat @cursor_ai untuk pertama kalinya.

Jika itu bisa terjadi padaku, itu juga bisa terjadi padamu. Berikut adalah penjelasan lengkap. 🧵👇

— zak.eth (@0xzak) 12 Agustus 2025

Menurutnya, para penjahat siber mencuri cryptocurrency menggunakan plugin untuk editor kode AI Cursor. Cole menjelaskan bahwa ekstensi tersebut memiliki semua tanda produk yang tidak berbahaya: logo yang dirancang secara profesional, deskripsi yang mendetail, dan 54.000 unduhan di OpenVSX — registri resmi Cursor.

Di Koi Security yakin bahwa WhiteCobra termasuk dalam kelompok yang sama yang pada bulan Juli mencuri aset digital senilai $500.000 dari seorang programmer blockchain Rusia.

«Interoperabilitas dan kurangnya verifikasi yang tepat saat publikasi di platform ini menjadikannya ideal bagi penjahat siber yang ingin melakukan kampanye dengan jangkauan luas», — bunyi laporan Koi Security.

Pengosongan dompet dimulai dengan menjalankan file utama extension.js, yang hampir identik dengan template standar Hello World yang disertakan dengan setiap template ekstensi VSCode. Selanjutnya, malware mengekstrak software-styler tergantung pada jenis OS.

Dalam fokus penjahat dari WhiteCobra adalah pemegang aset digital dengan jumlah antara $10.000 hingga $500.000. Para analis percaya bahwa kelompok ini mampu meluncurkan kampanye baru dalam waktu kurang dari tiga jam.

Contoh ekstensi yang sah dan palsu untuk pengembang. Sumber: Koi Security.Saat ini, sulit untuk menghentikan penjahat: meskipun plugin berbahaya dihapus dari OpenVSX, yang baru segera muncul di tempatnya.

Peneliti menyarankan untuk berusaha menggunakan hanya proyek-proyek terkenal dengan reputasi baik dan berhati-hati terhadap rilis baru yang telah mengumpulkan banyak unduhan dan ulasan positif dalam waktu singkat.

Polisi Kanada menyita lebih dari $40 juta dalam cryptocurrency

Kepolisian Federal Kanada melakukan penyitaan cryptocurrency terbesar dalam sejarah negara itu. Hal ini diperhatikan oleh detektif on-chain ZachXBT.

Penegak hukum menyita aset digital senilai lebih dari 56 juta dolar Kanada dari platform TradeOgre (~$40,5 juta). Penutupan platform pertukaran cryptocurrency menjadi kasus pertama semacam ini dalam sejarah negara.

Penyelidikan dimulai pada bulan Juni 2024 atas petunjuk Europol. Ini menunjukkan bahwa platform tersebut melanggar hukum Kanada dan tidak terdaftar di Pusat Analisis Transaksi Keuangan dan Laporan sebagai perusahaan yang menyediakan layanan pertukaran uang.

Para penyelidik memiliki alasan untuk percaya bahwa sebagian besar dana yang digunakan untuk melakukan transaksi di TradeOgre berasal dari sumber-sumber kriminal. Platform ini menarik penjahat dengan tidak adanya identifikasi wajib pengguna.

Menurut pernyataan polisi, data transaksi yang diperoleh dari TradeOgre akan dianalisis untuk memberikan tuduhan. Penyidikan masih berlanjut.

Ekosistem JavaScript diserang oleh "cacing" yang dapat berkembang biak sendiri

Setelah serangan terhadap platform NPM untuk menyuntikkan perangkat lunak berbahaya ke dalam paket JavaScript, para penyerang beralih ke strategi penyebaran "cacing" yang sepenuhnya. Insiden ini semakin berkembang: pada saat penulisan, diketahui ada lebih dari 500 paket NPM yang telah dikompromikan.

Kampanye terkoordinasi Shai-Hulud dimulai pada 15 September dengan kompromi paket NPM @ctrl/tinycolor, yang diunduh lebih dari 2 juta kali setiap minggu.

Menurut analis Truesec, kampanye ini telah berkembang pesat dalam beberapa hari terakhir dan sekarang mencakup paket-paket yang dipublikasikan di ruang nama CrowdStrike.

Menurut para ahli, versi yang dikompromikan mengandung fungsi yang mengekstrak arsip tar dari paket, mengubah file package.json, menyuntikkan skrip lokal, menyusun ulang arsip, dan menerbitkannya kembali. Saat diinstal, skrip secara otomatis dijalankan yang mengunduh dan menjalankan TruffleHog — alat resmi untuk memindai rahasia dan mencari token.

Di Truesec, mereka percaya bahwa serangan tersebut secara signifikan dapat diskalakan dan menjadi lebih canggih. Meskipun para penjahat menggunakan banyak taktik lama, mereka telah secara signifikan meningkatkan pendekatan mereka, mengubahnya menjadi "cacing" yang sepenuhnya otonom. Malware melakukan tindakan berikut:

• mengumpulkan rahasia dan secara publik mengungkapkannya di GitHub;
• menjalankan TruffleHog dan menginterogasi endpoint metadata cloud untuk mengekstrak kredensial sensitif;
• mencoba menerapkan alur kerja GitHub Actions yang dirancang untuk mengekstraksi data melalui webhook.site;
• mencantumkan semua repositori GitHub yang tersedia untuk pengguna yang terkompromi dan secara paksa menjadikannya publik.

Ciri khas serangan ini adalah gayanya. Alih-alih bergantung pada satu objek yang terinfeksi, ia secara otomatis menyebar ke semua paket NPM.

Serangan terhadap industri otomotif dapat berdampak pada ekonomi Inggris

Jaguar Land Rover (JLR) telah tiga minggu berturut-turut tidak dapat mengatur produksi karena serangan siber. Produsen mobil kelas atas tersebut menginformasikan bahwa jalur produksinya dihentikan setidaknya hingga 24 September.

Perusahaan mengkonfirmasi bahwa penyerang telah mencuri informasi dari jaringannya, namun belum menyalahkan serangan tersebut pada kelompok peretas tertentu.

Menurut BleepingComputer, kelompok penjahat siber Scattered Lapsus$ Hunters mengklaim bertanggung jawab atas serangan siber, dengan memposting tangkapan layar dari sistem internal JLR di saluran Telegram. Dalam catatan tersebut, diklaim bahwa para hacker juga telah menjalankan program ransomware di infrastruktur perusahaan yang telah dikompromikan.

Menurut perhitungan BBC, setiap minggu terhenti biaya perusahaan setidaknya 50 juta poundsterling (~$68 juta). Sementara itu, The Telegraph memperkirakan kerugian untuk periode yang sama sekitar ~$100 juta. Pemasok JLR khawatir mereka tidak dapat mengatasi krisis yang tidak terduga dan takut akan kebangkrutan.

Data rahasia "Firewal Besar Tiongkok" telah bocor ke publik

Pada 12 September, peneliti dari tim Great Firewall Report melaporkan tentang kebocoran data terbesar dalam sejarah "Firewall Besar Tiongkok".

Sekitar 600 GB dokumen internal, kode sumber, dan korespondensi internal pengembang yang digunakan untuk membuat dan memelihara sistem pemfilteran lalu lintas nasional Tiongkok telah bocor ke jaringan.

Menurut para peneliti, kebocoran tersebut mencakup sistem lengkap untuk pengumpulan platform pelacakan lalu lintas, serta modul yang bertanggung jawab untuk mengenali dan memperlambat alat bypass tertentu. Sebagian besar tumpukan ditujukan untuk mendeteksi VPN yang dilarang di China.

Para ahli dari Great Firewall Report mengklaim bahwa sebagian dokumentasi berkaitan dengan platform Tiangou — produk komersial yang dirancang untuk digunakan oleh penyedia dan gateway perbatasan. Para ahli percaya bahwa iterasi pertama program ini diterapkan pada server HP dan Dell.

Selain itu, dokumen yang diungkap menyebutkan pemasangan perangkat lunak ini di 26 pusat data di Myanmar. Sistem tersebut konon dikelola oleh perusahaan telekomunikasi milik negara dan telah diintegrasikan ke dalam titik-titik utama pertukaran lalu lintas internet, yang memungkinkan baik pemblokiran massal maupun penyaringan selektif.

Menurut Wired dan Amnesty International, infrastruktur juga diekspor ke Pakistan, Ethiopia, Kazakhstan, dan negara lain, di mana digunakan bersamaan dengan platform lain untuk penyadapan lalu lintas yang sah.

Konsumen produk mewah dalam pengawasan hacker

Pada 15 September, pemilik banyak merek mewah, kelompok Kering, mengkonfirmasi kebocoran data yang mempengaruhi pelanggan dari anak perusahaannya Gucci, Balenciaga, Alexander McQueen, Yves Saint Laurent.

Menurut BBC, peretas mencuri data pribadi, termasuk nama, alamat email, nomor telepon, alamat rumah, serta total jumlah uang yang dibelanjakan oleh pembeli di toko-toko di seluruh dunia.

Di balik serangan tersebut, diduga ada kelompok peretas ShinyHunters, yang mengklaim telah mencuri data pribadi setidaknya 7 juta orang, namun jumlah korban kemungkinan jauh lebih tinggi.

Kelompok tersebut juga dicurigai terlibat dalam pencurian banyak basis data yang ditempatkan di Salesforce. Beberapa perusahaan, termasuk Allianz Life, Google, Qantas, dan Workday, mengkonfirmasi fakta pencurian data sebagai akibat dari peretasan massal ini.

Juga baca di ForkLog:

• CZ memperingatkan tentang ancaman "karyawan yang menyamar" dari DPRK.
• Gugatan yang diperbarui mengungkapkan rincian tentang peretasan bursa bitcoin Coinbase.
• Token DYDX senilai $26 juta "terjebak" di jaringan Ethereum.
• Israel meminta pembekuan 1,5 juta USDT yang terkait dengan teroris.
• Di Monero terjadi reorganisasi blok terbesar dalam 12 tahun.
• Jembatan Shibarium diretas senilai ~$2,3 juta.

Apa yang harus dibaca di akhir pekan?

ForkLog telah mempelajari proposal Privacy Stewards for Ethereum — tim baru yang merupakan bagian dari Ethereum Foundation — dan menjelaskan bagaimana staf organisasi berniat untuk menerapkan privasi di semua tingkat jaringan, hingga ke aplikasi.